Wireshark-Rezension und Alternativen
Wireshark ist ein kostenloser Paketanalysator, der als entwickelt wurde ein Open-Source-Projekt . Das System ist alt erstmals 1998 veröffentlicht . Im Gegensatz zu vielen Open-Source-Projekten ist diese Entwicklung jedoch gut finanziert und der Code wird regelmäßig analysiert und aktualisiert – die neueste Veröffentlichung des Systems erfolgte im Juli 2021 mit Version 3.4.7.
Wireshark-Geschichte
Ursprünglich hieß Wireshark Ätherisch, und es wurde erstmals 1998 von Gerald Combs als Alternative zu teuren Paketanalysetools entwickelt. Der Techniker arbeitete für einen ISP und benötigte für seine Aufgaben ein Dienstprogramm. Aus diesem Grund wurde Ethereal geboren.
Im Jahr 2006 machte sich Combs an die Arbeit CACE-Technologien . Zu diesem Zeitpunkt hatte er Ethereal in einem Repository eingerichtet, um den Code anderen zur Verfügung zu stellen, und er erhielt regelmäßig Beiträge von anderen unbezahlten Entwicklern. Obwohl der Code für alle zugänglich war, lag das Urheberrecht bei Combs. Der Name Ethereal gehörte jedoch seinen ehemaligen Mitarbeitern. Daher änderte Combs den Namen seines Paketanalysators, da dieser sich zu einem ausgefeilteren Werkzeug entwickelte. Diese Namensänderung wurde erstellt Wireshark .
In 2010 Riverbed-Technologien kaufte CACE Technologies und wurde der neue Arbeitgeber von Gerald Combs. Der neue Eigentümer nahm das Sponsoring des Wireshark-Projekts mit Begeisterung auf und investierte Unternehmensressourcen in die Verbesserung der Entwicklung und Verbreitung des Systems.
Während das Sponsoring eines kritischen kostenlosen Produkts häufig dazu führt, dass dem Basisprodukt neue Funktionen entzogen werden, da die Sponsororganisation eine kostenpflichtige Tool-Ebene hinzufügt, wurde Wireshark keiner Entwicklungsdrosselung unterzogen. Es gibt keine kostenpflichtige Version von Wireshark.
Was macht Wireshark?
Die Softwarekategorie, in die Wireshark passt, ist a Paket-Sniffer . Dies kann auch als Paketerfassungstool bezeichnet werden. Wireshark kann Pakete von erfassen drahtlose Systeme sowie LANs . Das System implementiert nicht das A und O des Kopierens von Paketen aus dem Netzwerk – es verwendet dafür ein anderes Dienstprogramm.
Pakete werden nicht abgefangen. Sie sind kopiert . Das bedeutet, dass der Netzwerkverkehr zu allen vorgesehenen Zielen weiterläuft. Dadurch werden die Nutzer des Netzwerks keinen Unterschied im Service bemerken, wenn Wireshark in Betrieb ist. Es ist auch nicht möglich für a Netzwerküberwachungstool um zu erkennen, dass Wireshark ausgeführt wird.
Um zu funktionieren, muss Wireshark auf einem Computernetzwerk installiert werden, in dem Benutzer mit dem Netzwerk verbunden sind, von dem Pakete kopiert werden sollen. Es kann nicht von außerhalb eines Netzwerks ausgeführt werden. Wireshark erleichtert das nicht Paketinjektion ; Es erfasst keinen vorbeikommenden Paketstrom und ermöglicht es, bereits vorbeikommende Pakete durch neue Pakete zu ersetzen.
Das Dienstprogramm Wireshark verfügt über eine grafische Benutzeroberfläche. Es zeigt die erfassten Pakete an und ermöglicht deren Abfrage, Sortierung und Hervorhebung ihres Inhalts. Leider zeigt Wireshark das an Datennutzlast Es kann nicht automatisch die Verschlüsselung von Paketen knacken, nicht nur deren Header, also auch nicht den Inhalt eines Paketkörpers geschützt , wird die Visualisierung der Nutzlast bedeutungslos sein.
Wireshark-Komponenten
Die kritischste Komponente von Wireshark ist pcap . Dies ist der eigentliche Paketerfassungscode, eine Adaption von tcpdump , ein früherer Paket-Sniffer. Die Abhörteile von tcpdump wurden in eine frei verfügbare Bibliothek aufgeteilt, die jeder andere Entwickler nutzen kann.
Es gibt zwei Versionen von pcap, die Wireshark zugrunde liegen: libpcap , das auf Unix und Unix-ähnlichen Betriebssystemen wie Linux und macOS läuft, und WinPcap , eine Version für Windows.
Wireshark-Funktionen
Die Stärke von Wireshark liegt darin, dass es erfasste Pakete anzeigen und archivieren kann. Die Hauptfunktionen von Wireshark sind:
- Eine Live-Ansicht der ankommenden Pakete.
- Eine farbcodierte Identifizierung von Pakettypen, die angepasst werden kann
- Ein Protokollanalysator, der das verwendete Protokoll durch Dereferenzierung der im Paketheader angezeigten Portnummer identifiziert
- Eine Befehlszeilenversion namens TShark
- Mehrere Detailebenen
- Eine Anzeige von Paketen in einem Anzeigebereich und einem Detailbereich, in dem die Werte im Header des hervorgehobenen Pakets erläutert werden
- VoIP- und VLAN-Identifizierung
- Ablage eines Pakets im Pcap-Layout und anderen Formaten
- Einrichtungen zum Entschlüsseln von IPSec, WEP, WPA2 und anderen Verschlüsselungsstandards
- Exportieren Sie in das CSV-, XML-, Nur-Text- oder PostScript-Format
Systemanforderungen für Wireshark
Die Betriebssysteme, auf denen Wireshark ausgeführt wird, sind:
- Windows 8.1 und 10
- Windows Server 2012, 2012 R2, 2016 und 2019
- macOS 10.12 und höher
- Alpine Linux
- Arch Linux
- Kanonisches Ubuntu
- Debian GNU/Linux
- Red Hat Enterprise Linux
- CentOS Linux
- Fedora-Linux
- Gentoo Linux
- FreeBSD
- HP-UX
- NetBSD
- OpenPKG
- Oracle Solaris
Der Host-Computer muss über die folgenden physikalischen Eigenschaften verfügen:
- Ein 64-Bit-AMD64/x86-64- oder 32-Bit-x86-Prozessor
- Mindestens 500 MB RAM
- 500 MB Festplattenspeicher
- Bildschirm mit einer Auflösung von mindestens 1280 × 1024 oder höher
- Eine Ethernet-Karte für LANs oder eine beliebige drahtlose IEEE 802.11-NIC
Wireshark installieren
Die Website der Wireshark-Projekt hat viele Informationen dazu Herunterladen und installieren das Paket auf einer Reihe von Betriebssystemen. Der Herunterladen Die Seite bietet Zugriff auf kostenlose Installationspakete für Windows und macOS.
Erweitern Sie die obere Überschrift für die verfügbaren Versionen, um Links anzuzeigen, für die Sie das Installationsprogramm erwerben können Windows Und Mac OS . Linux Und Unix Besitzer müssen den Quellcode herunterladen und kompilieren.
Klicken Sie auf den entsprechenden Link, um den Download für Wireshark zu erhalten. Das Installationspaket enthält die entsprechende Version von pcap.
Benutzer von Wireshark
Wireshark ist am beliebtesten bei Netzwerkadministratoren die gelegentlich Pakete analysieren müssen. Allerdings wird das Tool nur selten von Nutzen sein. Automatisierte Überwachungstools können Paket-Header effizienter durchsuchen als Menschen und präsentieren ein Paket, das innerhalb der Wireshark-Schnittstelle angezeigt wird.
Wireshark ist kein großartiger Assistent Hacker oder Penetrationstester . Hacker brauchen Geschwindigkeit, und obwohl ein Hacker Glück haben und ein unverschlüsseltes Passwort in einer Paketnutzlast entdecken kann, können andere Dienstprogramme diesen Erkennungsdienst besser durchführen. Darüber hinaus stehen Hackern viele weitere kostenlose Tools zur Verfügung, die mehr Automatisierung bieten und es immer noch sind frei . Penetrationstester müssen Hackern nacheifern und ihrem Beispiel folgen, indem sie andere nutzen kostenlose Protokollanalysatoren Und Tools zur Paketerfassung .
Vor- und Nachteile von Wireshark
Wireshark ist für Netzwerkadministratoren von Vorteil, die einen genauen Überblick über jedes im Netzwerk passierende Paket benötigen. Allerdings ist die Legende vom Nutzen von Wireshark für Hacker stark übertrieben. Das System bietet keine magische Methode zum Entschlüsseln von Datennutzdaten. Stattdessen liegt sein Hauptwert in der Fähigkeit, die Struktur von zu erkennen Paket-Header .
Vorteile:
- Zeigt erfasste Pakete live an
- Ermöglicht das Sortieren von Paketen
- Identifiziert die Protokolle, die die Pakete generieren
- Ermöglicht das Sortieren, Gruppieren und Filtern von Paketen, einschließlich der Verknüpfung von Paketen in einer Konversation
- Exportieren von Paketen zur Analyse in anderen Dienstprogrammen
Nachteile:
- Es können keine Pakete gesendet werden
- Pakete können nicht geändert oder generiert werden
Alternativen zu Wireshark
Der Schlüssel zu Wireshark ist pcap, und andere Dienstprogramme verwenden ebenfalls genau diesen Paketerfassungsmechanismus. Darüber hinaus funktionieren mehrere andere Paketerfassungstools gut als Ersatz für Wireshark.
Unsere Methodik zur Auswahl einer Alternative zu Wireshark
Wir haben den Markt für Paketerfassungstools wie Wireshark untersucht und die Optionen anhand der folgenden Kriterien bewertet:
- Ein System, das für alle primären Betriebssysteme verfügbar ist
- Ein Dienstprogramm, das pcap zur Paketerfassung verwendet
- Die Möglichkeit, Pakete live anzuzeigen
- Die Option, Pakete in Dateien zu speichern
- Ein Dienst, der Daten in verschiedenen Formaten exportieren kann
- Ein kostenloses Tool wie Wireshark oder ein kostenpflichtiger Ersatz, der bessere Funktionen bietet
- Eine kostenlose Testversion oder Geld-zurück-Garantie für eine kostenlose Beurteilung oder ein kostenloses Tool
Unter Berücksichtigung dieser Auswahlkriterien haben wir einige großartige Alternativen zu Wireshark ausfindig gemacht, die eine Überlegung wert sind.
Hier ist unsere Liste der acht besten Alternativen zu Wireshark:
- Zenmap Ein grafisches Frontend für Nmap, das nicht nur Pakete erfasst und die Möglichkeit bietet, sie anzuzeigen und zu speichern, sondern auch Header scannt, um anhand der Quell- und Zieladressen die mit dem Netzwerk verbundenen Geräte zu identifizieren. Die Paketerfassung wird von Npcap durchgeführt, einer Anpassung von pcap. Zenmap und Nmap sind kostenlos für Windows, macOS und Linux verfügbar.
- Tcpdump Dies ist der Vorläufer von Wireshark und immer noch verfügbar. Tcpdump war das ursprüngliche Paketerfassungssystem. Nur weil das Backend dieses Systems aufgeteilt und für jedermann zugänglich gemacht wurde, wurde die Entwicklung von Wireshark möglich. Bei diesem Tool handelt es sich um ein Befehlszeilentool, wodurch die Verwendung nicht so einfach ist wie bei Wireshark. Tcpdum ist für Windows, macOS, Linux und Unix verfügbar und kann kostenlos verwendet werden.
- NETRESEC Network Miner Dieses Dienstprogramm zur Paketerfassung ist als kostenlose und kostenpflichtige Edition verfügbar. Dieses Paket basiert auf einem Paket-Feed von pcap, der auch aus einer Datei gelesen werden kann. Das Hauptziel dieses Dienstprogramms besteht darin, eine Interpretation von Paket-Headern bereitzustellen. Dies gilt insbesondere für Protokolle, weshalb es sich hier um einen Protokollanalysator handelt. Das Tool ist für Windows, macOS, Linux und Unix verfügbar.
- Wolkenhai Dies ist ein kostenpflichtiges Tool, das PCAP-Dateien analysiert. Der Dienst wird als SaaS-Plattform bereitgestellt und kann daher von jedem Betriebssystem aus aufgerufen werden. Auf den Dienst kann auch über Apps für Android und iOS zugegriffen werden. Die Funktionen des Tools analysieren Paketdaten und ermöglichen es, diese Paket für Paket zu sortieren und zu gruppieren oder zu interpretieren. Es gibt eine 30-tägige kostenlose Testversion für diesen Dienst.
- Rülpsen-Suite Dieses hoch angesehene Penetrationstest-Tool. Es erfasst Pakete, während sie zwischen Endpunkten in einem Netzwerk und einem Webserver übertragen werden. Im Gegensatz zu Wireshark kann dieses Tool erfasste Pakete anpassen und auch von Grund auf neu generieren. Das Tool kann sie dann in einen Stream einspeisen und so einen Man-in-the-Middle-Angriff ermöglichen. Das Tool kann auch zum Knacken von Passwörtern verwendet werden und verfügt über Systeme, die Entschlüsselungsversuche unterstützen. Burp Suite läuft unter Windows, Linus und macOS und ist in kostenlosen und kostenpflichtigen Versionen verfügbar. Burp Suite Professional ist verfügbar für eine 30-tägige kostenlose Testversion .
- Metasploit Meterpreter Metasploit ist ein bekanntes Penetrationstest-Tool und Meterpreter ist ein Add-on zu diesem Tool. Dies ist ein wertvolles Tool für Hacker, da es erfasste Pakete im Speicher speichert, sodass Systemadministratoren nicht plötzlich Paketerfassungsdateien sehen. Pakete können jedoch bei Bedarf in eine Datei geschrieben oder übertragen werden. Dieses Tool verfügt nicht über einen Datenbetrachter, wird zu diesem Zweck jedoch häufig mit Wireshark gekoppelt. Sie müssen zuerst das Metasploit Framework herunterladen und dann das herunterladen Meterdolmetscher . Beide sind kostenlos.
- PCAPdroid Dies ist ein PCAP-Paketerfassungstool für den drahtlosen Netzwerkverkehr, das auf Android-Geräten installiert wird. Der Dienst speichert Pakete in einer Datei, da auf dem Bildschirm eines Mobilgeräts keine aussagekräftigen Bildschirmgrößen für die vollständige Paketanzeige angezeigt werden können. Anschließend exportieren Benutzer die PCAP-Dateien und lesen sie in Wireshark ein. Dies ist ein kostenloses Tool.
- PacketsDump ist ein kostenloses Tool, das Pakete in einem Netzwerk erfasst und in einem Viewer anzeigt. Das Dienstprogramm ermöglicht die Analyse von Paketen und führt auch einen rudimentären Netzwerküberwachungsdienst durch, indem es Statistiken über Paketübertragungsraten erstellt. Obwohl es sich hierbei um ein wertvolles und kostenlos nutzbares Tool handelt, wurde die Software seit 2009 leider nicht mehr aktualisiert.